在 Cisco VPN 3000 集中器上通过 HTTP 检查 CRL

下载选项

  • PDF     (571.2 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (282.7 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (357.7 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2006 年 3 月 13 日
文档 ID:26383

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

简介

本文档介绍如何使用HTTP模式对安装在Cisco VPN 3000集中器中的证书颁发机构(CA)证书启用证书撤销列表(CRL)检查。

证书通常在其整个有效期内有效。但是,如果证书因诸如名称更改、主题与CA之间的关联更改以及安全威胁等原因变得无效,则CA会撤销证书。在X.509下,CA通过定期发布已签名的CRL来撤销证书,其中每个已撤销的证书由其序列号标识。启用CRL检查意味着,每次VPN集中器使用证书进行身份验证时,它也会检查CRL以确保正在验证的证书未被撤销。

CA使用轻量级目录访问协议(LDAP)/HTTP数据库来存储和分发CRL。它们也可能使用其他方法,但VPN集中器依赖于LDAP/HTTP访问。

VPN集中器3.6版或更高版本中引入了HTTP CRL检查。但是,在早期的3.x版本中引入了基于LDAP的CRL检查。本文档仅讨论使用HTTP进行CRL检查。

注意:VPN 3000系列集中器的CRL缓存大小取决于平台,无法根据管理员的意愿进行配置。

先决条件

要求

尝试进行此配置之前,请确保满足以下要求:

  • 您已使用证书从VPN 3.x硬件客户端成功建立IPsec隧道,以进行互联网密钥交换(IKE)身份验证(未启用CRL检查)。

  • 您的VPN集中器始终可以连接到CA服务器。

  • 如果您的CA服务器连接到公共接口,则您已经在公共(默认)过滤器中打开了必要的规则。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • VPN 3000集中器版本4.0.1 C

  • VPN 3.x硬件客户端

  • Microsoft CA服务器,用于在Windows 2000服务器上运行证书生成和CRL检查。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档约定的更多信息,请参考 Cisco 技术提示约定。

网络图

本文档使用以下网络设置:

crl-http-vpn3k-1.gif

配置VPN 3000集中器

逐步指导

完成以下步骤以配置 VPN 3000 集中器:

  1. 如果您没有证书,请选择Administration > Certificate Management以请求证书。

    选择Click here to install a certificate,以便在VPN集中器上安装根证书。

    crl-http-26383c.gif

  2. 选择安装CA证书

    crl-http-26383b.gif

  3. 选择SCEP(简单证书注册协议)以检索CA证书。

    crl-http-vpn3k-3.gif

  4. 在SCEP窗口中,在URL对话框中输入CA服务器的完整URL。

    在本示例中,CA服务器的IP地址为172.18.124.96。由于本示例使用Microsoft的CA服务器,因此完整的URL为http://172.18.124.96/certsrv/mscep/mscep.dll。然后,在CA Descriptor(CA描述符)对话框中输入一个单词描述符。本示例使用CA。

    crl-http-vpn3k-4.gif

  5. 单击 Retrieve(检索)。

    您的CA证书应该显示在“管理”(Administration)>“证书管理”(Certificate Management)窗口中。如果您没有看到证书,请返回步骤1,然后再次执行步骤。

    crl-http-vpn3k-5.gif

  6. 拥有CA证书后,选择Administration > Certificate Management > Enroll,然后单击Identity certificate

    crl-http-vpn3k-6.gif

  7. 点击通过SCEP注册(位于……)以申请身份证书。

    crl-http-vpn3k-7.gif

  8. 完成以下步骤以填写注册表:

    1. 在Common Name(CN)字段中,输入要用于公钥基础设施(PKI)中的VPN集中器的公用名称。

    2. 在组织单位(OU)字段中输入您的部门。OU应与配置的IPsec组名称匹配。

    3. 在“组织(O)”字段中输入您的组织或公司。

    4. 在Locality(L)字段中输入您的城市或城镇。

    5. 在State/Province(SP)(州/省(SP))字段中输入您的省/市/自治区。

    6. 在Country(C)字段中输入您的国家/地区。

    7. 在Fully Qualified Domain Name(FQDN)字段中输入要在PKI中使用的VPN集中器的完全限定域名(FQDN)。

    8. 在Subject Alternative Name(email Address)字段中,输入要在PKI中使用的VPN集中器的邮件地址。

    9. 在Challenge Password字段中输入证书请求的质询密码。

    10. 在Verify Challenge Password字段中重新输入质询密码。

    11. 从Key Size下拉列表中选择生成的RSA密钥对的密钥大小。

      crl-http-vpn3k-8.gif

  9. 选择Enroll并在轮询状态下查看SCEP状态。

  10. 转到您的CA服务器以批准身份证书。在CA服务器上批准后,您的SCEP状态应为“已安装”。

    crl-http-vpn3k-9.gif

  11. 在Certificate Management下,您应该会看到您的身份证书。

    否则,请检查CA服务器上的日志以了解更多故障排除。

    crl-http-vpn3k-10.gif

  12. 在收到的证书上选择View以查看证书是否具有CRL分发点(CDP)。

    CDP列出来自此证书颁发者的所有CRL分发点。如果证书上有CDP,并且使用DNS名称向CA服务器发送查询,请确保在VPN集中器中定义了DNS服务器,以使用IP地址解析主机名。在本例中,示例CA服务器的主机名为jazib-pc,它解析为DNS服务器上的IP地址172.18.124.96。

    crl-http-vpn3k-11.gif

  13. 点击CA证书上的Configure,对收到的证书启用CRL检查。

    如果您对收到的证书具有CDP并且想要使用它,则从正在检查的证书中选择Use CRL distribution points

    由于系统必须从网络分发点检索和检查CRL,启用CRL检查可能会缩短系统响应时间。此外,如果网络速度慢或拥塞,CRL检查可能会失败。启用CRL缓存以缓解这些潜在问题。这将检索到的CRL存储在本地易失性存储器中,因此允许VPN集中器更快速地验证证书的撤销状态。

    启用CRL缓存后,VPN集中器首先检查缓存中是否存在所需的CRL,并在需要检查证书的撤销状态时根据CRL中的序列号列表检查证书的序列号。如果发现证书的序列号,则认为该证书已撤销。VPN集中器从外部服务器检索CRL,当它在缓存中找不到所需的CRL、缓存CRL的有效期已过期时,或当配置的刷新时间已过时。当VPN集中器收到来自外部服务器的新CRL时,它会使用新CRL更新缓存。缓存最多可包含64个CRL。

    注意:内存中存在CRL缓存。因此,重新启动VPN集中器会清除CRL缓存。VPN集中器在处理新的对等身份验证请求时,使用更新的CRL重新填充CRL缓存。

    如果选择使用静态CRL分发点,则最多可以使用五个静态CRL分发点,如该窗口中所指定。如果选择此选项,则必须输入至少一个URL。

    您也可以选择Use CRL distribution points from the certificate being checked,或者选择Use static CRL distribution points。如果VPN集中器无法在证书中找到五个CRL分发点,则会添加静态CRL分发点,最多五个。如果选择此选项,请至少启用一个CRL分发点协议。您还必须输入至少一个(且不超过五个)静态CRL分发点。

    如果要禁用CRL检查,请选择No CRL Checking

    在CRL Caching下,选择Enabled框以允许VPN集中器缓存检索到的CRL。默认情况下不启用CRL缓存。禁用CRL缓存(取消选中该框)时,CRL缓存将被清除。

    如果配置了CRL检索策略,该策略使用来自所检查证书的CRL分发点,请选择要用于检索CRL的分发点协议。在这种情况下,选择HTTP以检索CRL。如果CA服务器指向公共接口,请将HTTP规则分配给公共接口过滤器。

    crl-http-vpn3k-12.gif

监控

选择Administration > Certificate Management,然后单击View All CRL caches,查看VPN集中器是否已缓存来自CA服务器的任何CRL。

验证

本部分提供的信息可帮助您确认您的配置是否可正常运行。

来自集中器的日志

在VPN集中器上启用这些事件,以确保CRL检查正常工作。

  1. 选择Configuration > System > Events > Classes以设置日志记录级别。

  2. 在Class Name下,选择IKE、IKEDBGIPSECIPSECDBGCERT

  3. 单击AddModify,然后选择Severity to Log选项1-13

  4. 如果要修改,请单击Apply,如果要添加新条目,请单击Add

成功的集中器日志

如果CRL检查成功,这些消息将在可过滤事件日志中看到。 

1315 08/15/2002 13:11:23.520 SEV=7 CERT/117 RPT=1 
The requested CRL was found in cache.
The CRL Distribution point is: http://jazib-pc/CertEnroll/jazib-ca-ra.crl

1317 08/15/2002 13:11:23.520 SEV=8 CERT/46 RPT=1
CERT_CheckCrl(62f56e8, 0, 0)

1318 08/15/2002 13:11:23.520 SEV=7 CERT/2 RPT=1
Certificate has not been revoked: session = 2

1319 08/15/2002 13:11:23.530 SEV=8 CERT/50 RPT=1 
CERT_Callback(62f56e8, 0, 0)

1320 08/15/2002 13:11:23.530 SEV=5 IKE/79 RPT=2 64.102.60.53 
Group [ipsecgroup]
Validation of certificate successful
(CN=client_cert, SN=61521511000000000086)

有关成功的集中器日志的完整输出,请参阅成功的集中器日志

失败的日志

如果CRL签入失败,这些消息将在可过滤事件日志中看到。 

1332 08/15/2002 18:00:36.730 SEV=7 CERT/6 RPT=2
Failed to retrieve revocation list: session = 5

1333 08/15/2002 18:00:36.730 SEV=7 CERT/114 RPT=2 
CRL retrieval over HTTP has failed. Please make sure that proper filter rules
have been configured.

1335 08/15/2002 18:00:36.730 SEV=7 CERT/8 RPT=2
Error processing revocation list: session = 5, reason = Failed to retrieve CRL 
from the server.

有关失败集中器日志的完整输出,请参阅撤销的集中器日志

有关成功的客户端日志的完整输出,请参阅成功的客户端日志

有关失败客户端日志的完整输出,请参阅撤销的客户端日志

故障排除

有关故障排除的详细信息,请参阅排除VPN 3000集中器上的连接问题

相关信息

修订历史记录

版本 发布日期 备注
1.0
15-Aug-2002
初始版本

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品